Tra due mesi, il 30 aprile 2026, migliaia di aziende italiane dovranno dimostrare di saper notificare incidenti cyber entro 24 ore. Non più solo un adempimento burocratico: è un requisito operativo che segnerà la differenza tra chi potrà continuare a operare all’interno di supply chain strutturate e chi rischia l’esclusione progressiva dal mercato. Secondo le stime dell’Agenzia per la Cybersicurezza Nazionale, tra 16.000 e 50.000 nuove imprese italiane rientrano nel perimetro della direttiva NIS2. Secondo alcune analisi di settore, molte di queste devono recuperare in 18 mesi ciò che non è stato fatto in 18 anni. Con sanzioni fino a 10 milioni di euro — o il 2% del fatturato globale — e responsabilità diretta degli amministratori, il costo dell’immobilismo diventerà insostenibile.
Perché la NIS2 è diversa: dalla compliance alla resilienza operativa
La NIS2 segna un cambio di paradigma rispetto a ogni precedente direttiva. L’attenzione si sposta dalla protezione dei sistemi IT alla resilienza operativa complessiva dell’organizzazione. Il rischio cyber diventa a tutti gli effetti un rischio di business: può bloccare la produzione, compromettere la continuità del servizio, danneggiare irreparabilmente la reputazione.
Il primo semestre del 2025 ha registrato un record storico: l’ACN ha registrato 2.755 incidenti cyber in Italia, con un aumento del 36% rispetto al semestre precedente. L’Italia è diventata bersaglio del 10% degli attacchi mondiali, con settori come Pubblica Amministrazione e Sanità in prima linea. Il phishing è cresciuto del 60%, mentre gli attacchi ransomware mantengono livelli costantemente elevati.
Ma c’è un elemento spesso trascurato: la convergenza tra sicurezza fisica e sicurezza informatica. Ogni telecamera, sistema di controllo accessi, allarme antintrusione è oggi basato su infrastrutture digitali e reti di comunicazione. Non esiste più una separazione netta tra “fisico” e “cyber”: ogni dispositivo connesso è al tempo stesso uno strumento operativo essenziale e un potenziale vettore di attacco. Il risultato: nel 2025, il 67% delle aziende italiane di medie-grandi dimensioni ha subito almeno un incidente di sicurezza fisica, secondo dati di settore.
L’errore più comune: gestire la sicurezza per silos
Troppo spesso, nelle organizzazioni, la sicurezza fisica e quella informatica vengono gestite da team separati, con budget e logiche altrettanto distinte tra loro. La NIS2 impone di superare questa frammentazione.
Prendiamo un esempio concreto: un sistema di videosorveglianza compromesso non rappresenta solo un problema di privacy o di interruzione del servizio. Può diventare il punto
di accesso per un attacco alla rete aziendale, con conseguenze su produzione, dati sensibili, continuità operativa. Allo stesso modo, un attacco cyber che blocca i sistemi di controllo accessi può compromettere la sicurezza fisica di un sito critico.
Questa interdipendenza richiede un approccio di sicurezza integrata: progettazione congiunta dei requisiti, valutazione del rischio end-to-end, responsabilità condivisa lungo tutta la filiera. Non è più sufficiente delegare la cybersecurity all’IT: serve il coinvolgimento diretto del management, delle operation, dei responsabili della sicurezza fisica.
Le tre milestone da rispettare
Il percorso di adeguamento alla Direttiva NIS2 si articola su scadenze progressive:
1. 28 febbraio 2025 (scadenza superata): registrazione obbligatoria nel portale ACN per i soggetti essenziali e importanti.
2. 31 dicembre 2025 (scadenza superata): per gli enti direttamente in perimetro NIS2, l’obbligo normativo è già entrato in vigore a partire da questa data.
3. 30 aprile 2026 (tra meno di due mesi): scadenza chiave per il mondo della supply chain: diventa obbligatoria la notifica degli incidenti entro 24 ore, con un rapporto dettagliato entro 72 ore e un rapporto finale entro un mese. Per rispettare questa scadenza, le aziende devono già disporre di procedure interne chiare, flussi decisionali snelli e un referente CSIRT operativo.
4. Ottobre 2026: compliance completa, con adozione delle misure minime di sicurezza definite dall’ACN. I soggetti “importanti” devono implementare 37 misure (87 requisiti), mentre i soggetti “essenziali” ne devono adottare 43 (116 requisiti).
Chi non rispetta queste scadenze rischia sanzioni immediate. Ma il rischio più concreto, nel medio-lungo periodo, è l’esclusione dal mercato: committenti e clienti richiederanno sempre più spesso livelli minimi di maturità cyber lungo tutta la catena di fornitura. La conformità alla NIS2 diventerà un requisito di qualificazione per gare, affidamenti e partnership strategiche.
Da dove iniziare: tre priorità operative
Per le aziende che devono ancora avviare il percorso di adeguamento, tre azioni sono prioritarie:
1. Autovalutazione del livello di preparazione: identificare i sistemi e i servizi più critici, mappare i dispositivi connessi (inclusi quelli di sicurezza fisica), verificare l’esistenza di procedure di gestione degli incidenti. Una checklist di autovalutazione può aiutare a individuare i gap più urgenti.
2. Definizione chiara di ruoli e responsabilità: la NIS2 richiede il coinvolgimento formale del vertice aziendale e la nomina di un referente CSIRT. Non si tratta di creare nuove strutture complesse, l’importante è che siano chiari flussi decisionali, competenze disponibili e responsabilità operative.
3. Controllo della supply chain: identificare i fornitori critici (tecnologie, servizi, piattaforme), introdurre requisiti minimi di sicurezza nei contratti, prevedere obblighi di
comunicazione in caso di incidente. La sicurezza di un’organizzazione dipende anche dalla sicurezza dei suoi fornitori.
Il ritorno dell’investimento: non solo compliance
L’adeguamento alla NIS2 richiede investimenti significativi. La stima media europea per un’azienda di medie-grandi dimensioni è di circa 283.000 euro, con un range che può variare da meno di 100.000 euro a oltre 5 milioni, a seconda del settore e dello stato di partenza (stime “European Commission Impact Assessment NIS2”).
Tuttavia, gli studi prevedono un ritorno positivo sugli investimenti già a partire dal secondo anno. L’introduzione delle misure NIS2 dovrebbe ridurre gli incidenti cyber del 6% annuo. Per una grande azienda che subisce 60 incidenti all’anno — con costi che possono variare da 3 a 15 milioni di euro — il beneficio annuale può essere stimato tra 180.000 e 900.000 euro.
Ma il vantaggio competitivo va ben oltre i numeri. Le organizzazioni che affrontano la NIS2 come un’opportunità per rafforzare la resilienza complessiva — e non solo come un obbligo normativo — si posizionano come partner affidabili, capaci di gestire il rischio in contesti complessi e interconnessi.
Sicurezza integrata: il nuovo standard di mercato
La NIS2 non è l’ennesima normativa da rispettare. È il riconoscimento formale che la sicurezza, oggi, è un sistema integrato. Non può esistere sicurezza fisica senza sicurezza informatica. Non può esistere continuità operativa senza governance del rischio cyber. Non può esistere competitività senza resilienza.
Le aziende che sapranno interpretare questo cambiamento con metodo e consapevolezza trasformeranno un obbligo normativo in un fattore di permanenza sul mercato. Le altre rischiano di trovarsi, progressivamente, fuori gioco.
